武鵬　李文倚　王文興

【 摘 要 】 針對企業(yè)門戶系統(tǒng)升級過程中各應(yīng)用系統(tǒng)訪問控制與身份認(rèn)證方式差異導(dǎo)致的難以進(jìn)行統(tǒng)一認(rèn)證與系統(tǒng)集成的問題，提出了一種跨域統(tǒng)一認(rèn)證與系統(tǒng)集成方案。方案基于共享庫，結(jié)合AD域與LDAP目錄實現(xiàn)了跨域統(tǒng)一認(rèn)證和訪問控制，并結(jié)合企業(yè)應(yīng)用進(jìn)行了實踐，解決了系統(tǒng)集成過程中多種訪問控制方式難以進(jìn)行統(tǒng)一認(rèn)證和單點登錄的問題。

【 關(guān)鍵詞 】 跨域；統(tǒng)一認(rèn)證；訪問控制；系統(tǒng)集成

【 中圖分類號 】 TP301 【 文獻(xiàn)標(biāo)識碼 】 A

【 Abstract 】 In the process of enterprise portal system upgrading， application system access control and identity authentication mode is differences lead to difficult to carry out unified authentication and system integration. In this paper a cross domain authentication and system integration solution scheme is proposed. This solution scheme based on shared library， combined with AD domain and LDAP directory to achieve cross domain authentication and access control.It has been applied in the enterprise application and resolved the issues that multiple access control is hard to implement unified authentication and single sign on in the process of system integration.

【 Keywords 】 across-domain；unified authentication；access control；system integration

1 引言

隨著企業(yè)信息系統(tǒng)的快速發(fā)展，企業(yè)內(nèi)部廣泛存在不同架構(gòu)、不同認(rèn)證與訪問控制策略與實現(xiàn)方式、基于域控和沒基于域控等不同形式下的各類信息系統(tǒng)，表現(xiàn)出體系結(jié)構(gòu)上的分布式、域內(nèi)自治、域間協(xié)作等復(fù)雜應(yīng)用系統(tǒng)的特征。基于這些特征的信息系統(tǒng)面臨著無法進(jìn)行統(tǒng)一認(rèn)證和訪問控制、跨系統(tǒng)協(xié)同和系統(tǒng)集成困難的新問題和新挑戰(zhàn)，具體表現(xiàn)：（1）申請訪問各系統(tǒng)的主體來源不同，甚至具有臨時性，往往是現(xiàn)有統(tǒng)一認(rèn)證系統(tǒng)不認(rèn)知和不能識別的；（2）各個信息系統(tǒng)本身的訪問控制策略和安全機(jī)制存在差異，表現(xiàn)在訪問控制模型的異構(gòu)性；（3）已有信息系統(tǒng)的統(tǒng)一認(rèn)證與訪問控制存儲方式多樣化，關(guān)系型數(shù)據(jù)庫、LDAP目錄樹、Microsoft Active Directory（AD）等共存。與此相關(guān)的研究主要集中在基于活動目錄的認(rèn)證系統(tǒng)等方面，較少關(guān)注跨域統(tǒng)一認(rèn)證與系統(tǒng)集成方面的應(yīng)用。

本文給出了跨域統(tǒng)一認(rèn)證與系統(tǒng)集成應(yīng)用場景，提出了一種跨域統(tǒng)一認(rèn)證與系統(tǒng)集成方案，并結(jié)合企業(yè)應(yīng)用進(jìn)行了實踐，解決了企業(yè)門戶系統(tǒng)升級過程中的統(tǒng)一認(rèn)證與系統(tǒng)集成問題。

2 跨域統(tǒng)一認(rèn)證與訪問控制體系結(jié)構(gòu)

本文通過創(chuàng)建共享庫，以共享庫為基礎(chǔ)在共享庫、Microsoft Active Directory（AD）、IBM Tivoli Directory Server LDAP目錄服務(wù)之上搭建了跨域統(tǒng)一認(rèn)證器，設(shè)計了一套認(rèn)證流程，實現(xiàn)跨域統(tǒng)一認(rèn)證，并在此基礎(chǔ)上建立基于RBAC的訪問控制策略，實現(xiàn)不同信息系統(tǒng)的統(tǒng)一認(rèn)證與單點登錄。圖1給出了跨域統(tǒng)一認(rèn)證與訪問控制體系結(jié)構(gòu)圖，箭頭指明了跨域統(tǒng)一認(rèn)證與訪問控制過程?？缬蚪y(tǒng)一認(rèn)證與訪問控制體系結(jié)構(gòu)主要包含五個構(gòu)件：（1）用戶/角色管理器：對用戶和角色進(jìn)行管理，定義用戶與角色的映射；（2）資源/操作管理器：對資源和操作進(jìn)行管理，定義資源與角色的映射；（3）跨域認(rèn)證器：依據(jù)不同用戶來源，依據(jù)相應(yīng)認(rèn)證流程對訪問主體進(jìn)行身份驗證；（4）安全控制器：對共享庫、AD服務(wù)器及統(tǒng)一認(rèn)證器進(jìn)行監(jiān)控及預(yù)警；（5）跨域同步/映射器：對域間用戶/用戶組/角色進(jìn)行數(shù)據(jù)同步或進(jìn)行不同層次和粒度的映射。

當(dāng)某用戶需要訪問某項資源進(jìn)行相關(guān)操作時，生成一個訪問請求，事實上將進(jìn)入跨域統(tǒng)一認(rèn)證器進(jìn)行驗證。

3 跨域統(tǒng)一認(rèn)證與訪問控制策略

3.1 跨域認(rèn)證機(jī)制

跨域統(tǒng)一認(rèn)證與訪問控制的核心是跨域認(rèn)證機(jī)制，下文結(jié)合統(tǒng)一認(rèn)證過程對涉及到的共享庫和跨域認(rèn)證機(jī)制進(jìn)行闡述。

3.1.1共享庫

共享庫是對各個信息系統(tǒng)以數(shù)據(jù)庫形式管理的用戶/角色的抽象，定義為所有非基于AD域驗證的信息系統(tǒng)的用戶/角色，既非域控用戶/角色的集合。它統(tǒng)一存儲所有信息系統(tǒng)的用戶信息，信息系統(tǒng)對用戶信息的存儲和管理全部通過共享庫完成，而授權(quán)則由各信息系統(tǒng)完成，即統(tǒng)一存儲、分布授權(quán)。共享庫具備幾項基本功能：（1）用戶信息規(guī)范命名、統(tǒng)一存儲，用戶ID全局惟一，用戶ID猶如身份證，區(qū)分和標(biāo)識了唯一的不同訪問個體；（2）向各信息系統(tǒng)提供用戶屬性列表，如姓名、電話、地址和郵箱等屬性，各信息系統(tǒng)可以選擇本系統(tǒng)所需要的部分或全部屬性；（3）信息系統(tǒng)對用戶基本信息的增加、修改、刪除和查詢等請求由它處理；（4）各信息系統(tǒng)保留用戶管理功能，如用戶分組、用戶授權(quán)等功能；（5）具有完善的日志功能，詳細(xì)記錄各信息系統(tǒng)對它的操作。共享庫的主要用途是使非基于AD域驗證的信息系統(tǒng)能夠共享同一套用戶/角色，實現(xiàn)訪問主體的統(tǒng)一管理。

3.1.2跨域認(rèn)證機(jī)制

跨域認(rèn)證有三種基本情況：一是某非域控用戶（沒有登入AD域的用戶）請求訪問非基于AD的域外資源（例如非基于域控的信息系統(tǒng)）；二是非域控用戶請求訪問域內(nèi)資源（例如基于域控的信息系統(tǒng)）；三是域控用戶請求訪問域外資源（例如非基于域控的信息系統(tǒng)）。第一種情況的難點在于域之間的用戶信任問題；第二種情況的難點在于非域控用戶無法得到域內(nèi)資源的信任；第三種情況的難點在于域控用戶無法得到非基于域控的資源的信任。第一種情況可以使用單點登錄技術(shù)。單點登錄（SSO，Single Sign-on）是一種方便用戶訪問多個系統(tǒng)的技術(shù)，實質(zhì)是安全上下文（Security Context）或憑證（Credential）在多個應(yīng)用系統(tǒng)之間的傳遞或共享。目前業(yè)界已有很多產(chǎn)品支持SSO，如IBM的WebSphere和BEA的WebLogic，但各家SSO產(chǎn)品的實現(xiàn)方式也不盡相同。WebSphere通過Cookie記錄認(rèn)證信息，WebLogic則是通過Session共享認(rèn)證信息。Cookie方式可實現(xiàn)SSO，但域名必須相同；Session是一種服務(wù)器端機(jī)制，當(dāng)客戶端訪問服務(wù)器時，服務(wù)器為客戶端創(chuàng)建一個惟一的SessionID，以使在整個交互過程中始終保持狀態(tài)，而交互的信息則可由應(yīng)用自行指定，因此用Session方式實現(xiàn)SSO，不能在多個瀏覽器之間實現(xiàn)單點登錄，但卻可以跨域。同時，OASIS（結(jié)構(gòu)化信息標(biāo)準(zhǔn)促進(jìn)組織）提出了SAML解決方案。

上述方案都能很好地解決跨域認(rèn)證的第一種情況并實現(xiàn)統(tǒng)一認(rèn)證和訪問控制。但由于企業(yè)應(yīng)用的多樣性與復(fù)雜性，往往會出現(xiàn)前述的第二和第三種情況。如圖2所示。

當(dāng)非域控用戶要訪問域內(nèi)資源時，域內(nèi)資源要求提供相應(yīng)域控用戶賬戶和域口令進(jìn)行驗證，這時使用經(jīng)跨域同步/映射器映射后的域控用戶賬戶并搭配域口令去域服務(wù)器進(jìn)行驗證。當(dāng)域控用戶請求訪問域外資源（例如信息系統(tǒng)）時，這時使用經(jīng)跨域同步/映射器映射后的共享庫用戶賬戶并搭配相應(yīng)口令去共享庫服務(wù)器進(jìn)行驗證。這樣通過跨域同步/映射器已完成域控用戶與非域控用戶的相互轉(zhuǎn)換，實現(xiàn)跨域統(tǒng)一認(rèn)證和訪問控制。

3.2 跨域同步/映射機(jī)制

跨域統(tǒng)一認(rèn)證與訪問控制依賴于跨域同步/映射機(jī)制，跨域同步/映射機(jī)制是實現(xiàn)統(tǒng)一認(rèn)證與訪問控制前提，下文結(jié)合統(tǒng)一認(rèn)證過程對跨域同步/映射機(jī)制進(jìn)行闡述。

3.2.1用戶同步

新用戶注冊到共享庫之后會自動同步到跨域統(tǒng)一認(rèn)證器中，始終保持用戶的一致。如果域控用戶是共享庫用戶的子集，域控用戶訪問域外資源將無需使用映射機(jī)制，如果共享庫用戶是域控用戶的子集，共享庫用戶訪問域內(nèi)資源也無需使用映射機(jī)制，自然維護(hù)一對一映射關(guān)系。通常情況下對于企業(yè)內(nèi)應(yīng)用，完全可以以共享庫為基礎(chǔ)，而域控用戶維護(hù)為共享庫用戶的子集，這樣當(dāng)共享庫用戶訪問域內(nèi)資源時，此共享庫用戶在域服務(wù)器中不存在時使用映射機(jī)制。

3.2.2域控用戶與非域控用戶映射粒度

AD域訪問主體DU對非域內(nèi)資源進(jìn)行訪問時通過跨域同步/映射器完成DU（域控用戶）到非域內(nèi)資源中訪問主體SU（共享庫用戶）不同粒度的映射，包括AD域控用戶組/角色到共享庫角色（包括用戶組/角色的用戶直接到角色）的映射，對AD域訪問主體聚類后再到共享庫中角色的映射兩種不同的映射粒度。兩種具體映射又設(shè)計了三種不同的方式：一對一、一對多、多對多。這樣就實現(xiàn)了AD域訪問主體對共享庫訪問主體間映射的靈活多樣，滿足各種需求。

非域訪問主體SU對域內(nèi)資源進(jìn)行訪問時通過跨域同步/映射器完成AD域外非域訪問主體SU（共享庫用戶，非域控用戶）到AD域訪問主體DU（域控用戶）不同粒度的映射，包括共享庫用戶組/角色到域控用戶（包括用戶組/角色的用戶直接到角色）的映射，對共享庫訪問主體聚類后再到AD域中角色的映射，特殊的臨時映射三種不同的映射粒度。三種具體映射又設(shè)計了三種不同的方式：一對一、一對多、多對多。這樣就實現(xiàn)了共享庫訪問主體對AD域訪問主體間映射的靈活多樣，滿足各種需求。

設(shè)計保持具體映射唯一性（同時同地只能激活一種粒度下的一種具體映射方式）以避免映射主體之間權(quán)限的重疊與互斥。

3.3 跨域統(tǒng)一認(rèn)證與訪問控制過程

本文提出的跨域統(tǒng)一認(rèn)證與訪問控制方案的主要特點是實現(xiàn)了域內(nèi)外訪問控制實現(xiàn)方式的統(tǒng)一，跨域認(rèn)證過程中，消除了域內(nèi)與域外的差別，使已有的各信息系統(tǒng)獨立的認(rèn)證與訪問控制過程基于共享庫實現(xiàn)統(tǒng)一認(rèn)證，同時又可以集成基于AD域的信息系統(tǒng)實現(xiàn)統(tǒng)一認(rèn)證，便于將各類信息系統(tǒng)進(jìn)行集成并實現(xiàn)單點登錄。圖3給出了當(dāng)用戶需要訪問某信息系統(tǒng)進(jìn)行某種操作時的統(tǒng)一認(rèn)證具體過程，首先提交用戶認(rèn)證信息給安全控制器預(yù)判涉及到的共享庫和AD服務(wù)器是否正常，然后預(yù)判正常情況下將用戶信息進(jìn)一步提交跨域同步/映射器，跨域同步/映射器將依據(jù)用戶信息判斷是否需要映射并完成相應(yīng)映射后提交給具體的驗證服務(wù)，驗證服務(wù)完成驗證后將驗證結(jié)果提交給將要訪問的信息系統(tǒng)，信息系統(tǒng)根據(jù)用戶即時授權(quán)，完成對相應(yīng)操作或資源的訪問。

4 應(yīng)用案例

企業(yè)內(nèi)實施了門戶系統(tǒng)，整合了大量信息和企業(yè)內(nèi)部信息系統(tǒng)，基本實現(xiàn)了信息系統(tǒng)單點登錄和用戶統(tǒng)一管理。隨著門戶的深化應(yīng)用，需要掛接和集成在門戶上的信息系統(tǒng)類型和數(shù)量日益增加，其中門戶系統(tǒng)上已有的信息系統(tǒng)采用基于數(shù)據(jù)庫的統(tǒng)一用戶管理系統(tǒng)實現(xiàn)了統(tǒng)一認(rèn)證和單點登錄，但是逐漸出現(xiàn)了基于AD域的信息系統(tǒng)需要掛接和集成在現(xiàn)有門戶上，同時企業(yè)內(nèi)客戶端有可能使用域控用戶登入域也有可能不登入域，不同類應(yīng)用系統(tǒng)認(rèn)證方式、訪問控制策略和面向用戶的差異，以及用戶客戶端的多樣化對系統(tǒng)集成和單點登錄帶來了困難和挑戰(zhàn)。如果非域控用戶SU（共享庫用戶）試圖登錄基于域驗證的信息系統(tǒng)A，該用戶只需要登錄門戶系統(tǒng)，門戶系統(tǒng)實現(xiàn)了跨域統(tǒng)一認(rèn)證與訪問控制，該用戶登錄門戶系統(tǒng)即通過跨域同步/映射映射為相應(yīng)域控用戶DU，并提交DU給域服務(wù)器進(jìn)行驗證，如果驗證通過，則提交DU給相應(yīng)信息系統(tǒng)進(jìn)行授權(quán)，如果成功授權(quán)，則SU可以對該信息系統(tǒng)進(jìn)行相應(yīng)操作，否則拒絕訪問。如果域控用戶DU試圖登錄某非基于域的信息系統(tǒng)B，該用戶也只需要登錄門戶系統(tǒng)，該用戶登錄門戶系統(tǒng)即通過跨域同步/映射器映射為相應(yīng)共享庫用戶SU，并提交SU給共享庫服務(wù)器進(jìn)行驗證，如果驗證通過，則提交SU給相應(yīng)信息系統(tǒng)進(jìn)行授權(quán)，如果成功授權(quán)，則DU可以對該信息系統(tǒng)進(jìn)行相應(yīng)操作，否則拒絕訪問。

5 結(jié)束語

本文通過引入共享庫和跨域映射機(jī)制，實現(xiàn)跨域統(tǒng)一認(rèn)證和訪問控制來解決企業(yè)內(nèi)不同類信息系統(tǒng)認(rèn)證方式、訪問控制策略和面向用戶差異及用戶客戶端多樣化對系統(tǒng)集成和單點登錄帶來的問題，提出了可行的方案并進(jìn)行了實現(xiàn)。在今后的工作中，會更加深入的考慮通用性以擴(kuò)展方案。

參考文獻(xiàn)

[1] 張冠東，王緒本.基于活動目錄的域用戶認(rèn)證系統(tǒng)的研究和設(shè)計[J].微型電腦應(yīng)用，2005，21（5）：5-6.

[2] 李志民.基于活動目錄的訪問控制系統(tǒng)設(shè)計[J].中原工學(xué)院學(xué)報，2004，15（2）：33-35.

[3] 于劍，張輝，趙紅梅.LDAP目錄服務(wù)在Web開發(fā)中的應(yīng)用[J].計算機(jī)應(yīng)用，2003，23（10）：82-83.

[4] 劉宏月，范九倫，馬建峰.訪問控制技術(shù)研究進(jìn)展[J].小型微型計算機(jī)系統(tǒng)，2004，25（1）：56-59.

[5] 林滿山，郭荷清.單點登錄技術(shù)的現(xiàn)狀及發(fā)展[J].計算機(jī)應(yīng)用，2004，24（zl）：248-250.

[6] 馬增紅.基于Saml的統(tǒng)一身份認(rèn)證和跨域單點登錄的設(shè)計與實現(xiàn)[D].四川：電子科技大學(xué)，2008.

作者簡介：

武鵬（1984-），男，碩士研究生，中海油研究總院，工程師；主要研究方向和關(guān)注領(lǐng)域：企業(yè)信息集成、信息安全、數(shù)據(jù)庫。

李文倚（1971-），男，本科，中海油研究總院，高級工程師；主要研究方向和關(guān)注領(lǐng)域：企業(yè)信息集成、信息安全、數(shù)據(jù)庫。

王文興（1985-），男，碩士研究生，中海油研究總院，工程師；主要研究方向和關(guān)注領(lǐng)域：企業(yè)信息集成、信息安全、數(shù)據(jù)庫。